기술 가이드

Mac Protector 악성코드(맥 디펜더) 제거 및 예방 가이드

6 min read 보안 업데이트됨 24 Sep 2025
Mac Protector 악성코드 제거 및 예방 가이드
Mac Protector 악성코드 제거 및 예방 가이드

빠른 링크

  • 스크린샷으로 보는 Mac Protector 감염 과정
  • Mac Protector 제거 단계별 절차
  • 바이러스 감염을 예방하는 방법

모든 애플 매니아는 맥은 멀웨어로부터 안전하다고 말하곤 합니다. 하지만 사실이 아닙니다. 실제로 최근 가짜 안티바이러스 프로그램이 OS X(현 macOS)를 표적으로 삼아 유통된 사례가 보고되었습니다. 이 기사는 해당 악성코드가 어떻게 동작하는지, 어떻게 제거하는지, 그리고 어떻게 예방할 수 있는지를 단계별로 설명합니다. 이 악성코드는 Apple Security Center, Apple Web Security, Mac Defender, Mac Protector 등 여러 이름으로 나타날 수 있습니다.

중요: 본 안내의 분석은 실무 환경에서 발견한 실제 감염 사례를 바탕으로 작성되었습니다.

스크린샷으로 보는 감염 과정

감염은 웹페이지 리다이렉트로 시작됩니다. 사용자에게 실제 Mac OS X 팝업과 유사한 페이지를 보여주어 경고처럼 보이게 만듭니다.

Mac Protector 가짜 팝업 페이지 스크린샷

사용자가 “Remove all”(또는 비슷한 버튼)를 클릭하면 악성 패키지 다운로드가 즉시 시작됩니다.

Mac Protector 설치 파일 다운로드 경로 스크린샷

다운로드가 완료되면 OS X의 자동 설치 흐름으로 이어질 수 있습니다. 과거에는 설치 시점에 사용자가 수동으로 설치 과정을 진행해야 했지만, 취약점에 따라 자동 실행이나 유도 방식이 달라질 수 있습니다. 본 사례는 OS X 10.6.7에 완전 패치가 적용된 환경에서 발생했으며, Symantec Endpoint Protection이 최신 상태였음에도 감염이 가능했습니다.

Mac Protector 설치 프로그램 초기 화면

설치 프로그램을 직접 걸어야 하며, 설치 중 관리자 권한(사용자명과 암호)을 요구합니다.

설치 중 관리자 권한 입력 화면 스크린샷

설치가 완료되면 메뉴 막대에 방패 모양 아이콘 등 새로운 아이콘이 나타날 수 있습니다.

메뉴 막대에 표시된 Mac Protector 아이콘 스크린샷

프로그램은 가짜 바이러스 정의를 로드하는 척하면서 자동 실행되어 사용자에게 감염 알림을 폭격합니다.

가짜 바이러스 검사 진행 및 경고 알림 스크린샷

윈도우용 가짜 안티바이러스와 마찬가지로 “Cleanup” 버튼이나 알림을 클릭하면 소프트웨어 미등록 메시지를 보여주고 결제를 유도합니다.

등록 필요 및 결제 유도 창 스크린샷

“Register”(등록) 버튼을 클릭하면 신용카드 정보를 요구하는 결제 창이 열립니다.

가짜 결제 창에서 신용카드 정보를 요구하는 화면 스크린샷

중요: 이곳에 신용카드 정보를 입력하거나 제출하지 마십시오. 입력 시 금전적 피해와 개인 정보 유출 위험이 발생합니다.

사용자가 창을 닫으면 시리얼 번호 입력을 요구하는 창이 다시 나타나기도 합니다.

시리얼 번호 입력을 요구하는 화면 스크린샷

Mac Protector 제거

다음 단계는 감염된 시스템에서 악성 프로세스와 파일을 안전하게 제거하는 절차입니다. 이 절차는 현장에서 검증된 수동 제거 방법이며, 관리자 권한이 필요합니다.

주의: 제거 작업을 시작하기 전에 중요 데이터의 백업을 권장합니다.

1. 모든 팝업과 악성 창 닫기

  • 키보드에서 command+Q를 눌러 열린 창을 종료하거나, 창의 왼쪽 상단의 빨간 닫기 버튼을 클릭하십시오.

팝업 창 닫기 예시 스크린샷

2. 활동 모니터(Activity Monitor)에서 프로세스 종료

  • 응용 프로그램 -> 유틸리티 -> 활동 모니터를 엽니다.
  • 목록에서 “MacProtector” 또는 비슷한 이름의 프로세스를 찾습니다.
  • 프로세스를 선택하고 “종료”(Quit Process)를 클릭합니다.

활동 모니터에서 MacProtector 프로세스 찾기 스크린샷

  • 종료 확인 팝업에서 계속 진행합니다.

프로세스 종료 확인 화면 스크린샷

3. 로그인 항목에서 자동 실행 제거

  • Apple 메뉴에서 시스템 환경설정을 엽니다.

시스템 환경설정 열기 스크린샷

  • 계정을 선택합니다.
  • 편집이 잠겨 있으면 왼쪽 아래 자물쇠를 클릭하고 관리자 암호를 입력해 잠금을 해제합니다.

계정 잠금 해제 화면 스크린샷

  • 왼쪽 사용자 목록에서 현재 사용자를 선택하고 로그인 항목 탭을 클릭합니다.
  • 목록에서 MacProtector 항목을 선택하고 아래의 마이너스(-) 버튼을 눌러 제거합니다.

로그인 항목에서 MacProtector 제거하는 화면 스크린샷

4. 애플리케이션 폴더에서 프로그램 삭제

  • 응용 프로그램 폴더로 이동하여 설치된 MacProtector(또는 유사 명칭)의 앱을 찾습니다.
  • 앱을 휴지통으로 이동하거나 오른쪽 클릭 후 “휴지통으로 이동”을 선택합니다. 앱 삭제 도구(앱 재거기)를 사용해도 됩니다.

MacProtector 앱을 삭제하는 화면 스크린샷

5. 남아있는 잔여 파일 검사

  • 일부 악성 프로그램은 /Library, ~/Library 아래에 런치 에이전트(LaunchAgents), 런치 데몬(LaunchDaemons), 플러그인, 설정 파일 등을 남깁니다. 다음 경로를 확인하십시오.
    • /Library/LaunchAgents
    • /Library/LaunchDaemons
    • ~/Library/LaunchAgents
    • /Library/Application Support
    • ~/Library/Application Support
  • 의심스러운 항목을 발견하면 소유자와 권한을 확인한 후 안전하게 삭제합니다. 불확실한 항목은 삭제 전 검색하거나 IT 전문가에게 문의하십시오.

중요: 시스템 파일을 삭제하면 정상 운영에 영향을 줄 수 있으므로 파일 정체가 불명확하면 백업 후 진행하거나 전문가와 상의하세요.

6. 시스템 재부팅 및 전체 스캔

  • 모든 조치가 끝나면 시스템을 재부팅합니다.
  • 신뢰할 수 있는 안티바이러스 소프트웨어로 전체 시스템 검사를 실행하십시오.

바이러스 감염 예방

다음 권장 보안 습관은 Mac Protector와 같은 가짜 안티바이러스로부터 자신을 보호하는 데 도움이 됩니다.

브라우징 습관

  • 의심스러운 웹사이트의 팝업이나 경고를 클릭하지 마십시오.
  • 공식 출처가 아닌 다운로드(특히 .pkg, .dmg, .zip 파일)를 실행하지 마십시오.
  • 브라우저에 보이는 보안 경고(예: Google의 안전하지 않음 경고)를 주의 깊게 읽으십시오.

Google 검색의 위험 사이트 경고 스크린샷

다운로드 자동 실행 중지

  • Safari 사용자는 다운로드 후 “안전한 파일 열기” 옵션을 비활성화하세요. Safari > 환경설정 > 일반에서 해당 체크박스를 해제합니다.

Safari 자동으로 안전한 파일 열기 옵션 스크린샷

다운로드 파일 스캔

  • 다운로드한 파일은 실행 전 항상 안티바이러스 솔루션으로 검사하세요. 이 악성 패키지는 Symantec Endpoint 같은 제품으로도 탐지됩니다.

Symantec Endpoint에서 OS X 악성코드 탐지 화면 스크린샷

  • macOS 전용 보안 도구가 없다면 Windows용 스캐너로도 일부 서명 기반 탐지가 가능합니다(파일을 다른 플랫폼에서 검사할 경우).

시스템 및 소프트웨어 유지

  • macOS와 설치한 모든 애플리케이션을 최신 상태로 유지하세요. 보안 업데이트는 취약점을 패치합니다.
  • 불필요한 브라우저 플러그인과 확장 기능을 제거합니다.

교육과 정책

  • 개인 사용자: 출처가 의심스러우면 설치하지 않습니다.
  • 조직 관리자: 브라우저 필터링, DNS 보호, 웹 게이트웨이, 이메일 필터링을 도입해 악성 리다이렉트를 차단하세요.

보안 사고 대응 체크리스트

  • 발견 즉시: 인터넷 연결 차단(네트워크 비활성화)로 추가 악성 활동을 제한합니다.
  • 프로세스 종료: 활동 모니터에서 관련 프로세스 종료.
  • 자동 시작 제거: 로그인 항목과 런치 데몬 목록 점검.
  • 파일 삭제: 애플리케이션과 잔여 파일 삭제.
  • 로그 분석: /var/log 및 콘솔 로그를 확인해 추가 흔적을 찾습니다.
  • 재발 방지: 브라우저 설정, 확장, 플러그인, 다운로드 정책을 강화합니다.
  • 보고: 조직 내 보안팀 또는 관련 기관에 사고를 보고합니다.

의사결정 흐름(간단한 가이드)

flowchart TD
  A[의심스러운 경고 팝업] --> B{파일 다운로드 여부}
  B -- 예 --> C[다운로드 파일 격리 & 검사]
  C --> D{악성 여부}
  D -- 탐지됨 --> E[네트워크 차단 & 제거 절차]
  D -- 정상이면 --> F[안전하게 설치 가능]
  B -- 아니오 --> G[브라우저 닫기 & 캐시 정리]
  E --> H[로그 확인 및 보고]

언제 이 방법이 실패할 수 있는가

  • 악성코드가 루트 권한을 얻어 커널 확장(kernel extension)이나 시스템 서비스로 깊게 설치된 경우 수동 삭제만으로는 완전 제거되지 않을 수 있습니다.
  • 변종이 런치 데몬을 숨기거나 파일 이름을 정상 프로세스와 유사하게 위장하면 수동 식별이 어려울 수 있습니다.
  • 이런 경우 안전 모드로 부팅하거나 전문적인 포렌식/전문가 지원이 필요합니다.

대안적 접근 방법

  • 신뢰할 수 있는 엔드포인트 탐지·대응(EDR) 또는 관리형 안티바이러스 제품을 사용해 자동화된 제거와 IOC(침해지표) 기반 차단을 적용합니다.
  • 네트워크 레벨에서 악성 도메인/URL을 블록해 리다이렉트를 사전에 차단합니다.
  • 조직 환경에서는 중앙에서 소프트웨어 설치를 관리하고 사용자 설치를 제한하는 정책을 도입합니다.

역할 기반 체크리스트

  • 개인 사용자

    • 다운로드 실행 전 출처 확인
    • Safari의 자동 실행 기능 비활성화
    • 정기 백업 수행

  • IT 관리자

    • 엔드포인트 보안 도구 배포
    • 웹 게이트웨이 및 DNS 필터링 적용
    • 사용자 교육 및 인시던트 대응 프로세스 마련

테스트 기준

  • 제거 후 재부팅 시 MacProtector 관련 프로세스/아이콘이 보이지 않아야 합니다.
  • 로그인 항목 및 런치 에이전트에 해당 항목이 없어야 합니다.
  • 신뢰할 수 있는 안티바이러스의 전체 검사에서 위협이 탐지되지 않아야 합니다.

요약

Mac Protector는 가짜 안티바이러스 형태로 macOS 사용자를 속여 결제 정보를 훔치거나 시스템을 장악하려 합니다. 감염이 의심되면 즉시 모든 창을 닫고 활동 모니터에서 프로세스를 종료한 뒤 로그인 항목과 애플리케이션 폴더에서 관련 항목을 제거하세요. 예방은 사용자의 브라우징 습관 개선, 다운로드 자동 실행 차단, 신뢰할 수 있는 보안 소프트웨어 설치로 가능합니다.

중요: 신용카드 정보나 개인 데이터를 이미 입력했다면 즉시 카드사에 연락하여 사용 중지를 요청하고, 비밀번호·계정 정보를 변경하십시오.

감염 사례나 추가 질문이 있다면 댓글로 경험을 공유해 주세요.

공유하기: X/Twitter Facebook LinkedIn Telegram
저자
편집

유사한 자료

Fabletics 회원권 취소 가이드 — 6가지 방법
구독 가이드

Fabletics 회원권 취소 가이드 — 6가지 방법

FLAC 파일 완전 가이드: 재생·변환·차이점
오디오 포맷

FLAC 파일 완전 가이드: 재생·변환·차이점

GIMP에 G'MIC로 필터와 효과 추가하기
그래픽

GIMP에 G'MIC로 필터와 효과 추가하기

YouTube 검색 기록 보기·삭제 방법
Privacy

YouTube 검색 기록 보기·삭제 방법

Mac Protector 악성코드 제거 및 예방 가이드
보안

Mac Protector 악성코드 제거 및 예방 가이드

멀웨어 감지·제거·예방 가이드
사이버 보안

멀웨어 감지·제거·예방 가이드